联合身份验证服务

联合身份验证服务 用于 Operations Manager 2007 的 Active Directory 联合身份验证服务 2.0 管理包 Microsoft Corporation 发布日期:2010 年 6 月 请将有关此文档的建议和意见发送至 mpgfeed@microsoft.com。请在反馈中注明管理包指南名称。 版权信息 本文档中的信息(包括引用的 URL 和其他 Internet 网站)如有变动，恕不另行通知。除非另行说明，否则此处提及的示例公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件均为虚构。我们无意关联任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件，读者也不应进行这方面的推测。遵守所有适用的版权法是用户的责任。在不限制版权许可的权利的情况下，如果没有得到 Microsoft Corporation 明确书面许可，本文档的任何部分不得被复制、存储或引进检索系统，或者以任何形式、任何方式(电子、机械、影印、录音或其他)或为任何目的进行传播。 本文档可能涉及 Microsoft 的专利、正在申请的专利、商标、版权或其他知识产权。除非 Microsoft 提供的任何书面许可中有明确规定，否则提供本文档并不表示授予您对使用这些专利、商标、版权或其他知识产权的任何许可。 ? 2008 Microsoft Corporation。保留所有权利。 Microsoft、MS-DOS、Windows、Windows Server 和 Active Directory 是 Microsoft Corporation 在美国和/或其他国家(地区)的注册商标或商标。 所有其他商标均为其各自所有者的财产。 修订历史记录 发布日期 更改 2010 年 6 月 本指南的原始版本 目录 AD FS 2.0 管理包简介 ................................................................ 4 受支持的配置 ...................................................................... 4 开始使用 ............................................................................ 5 导入管理包之前 .................................................................... 5 此管理包中的文件 ................................................................ 5 推荐的其他管理包 ................................................................ 5 如何导入 AD FS 2.0 管理包 ......................................................... 5 初始配置 .......................................................................... 5 为自定义项创建新管理包 .......................................................... 6 为监视的组件执行发现 ............................................................ 6 可选配置 ............................................................................ 7 安全注意事项 ........................................................................ 7 低特权环境 ........................................................................ 7 了解管理包操作 ...................................................................... 8 AD FS 2.0 管理包发现的对象 ........................................................ 8 类 ................................................................................ 9 关键监视 ..................................................................... 10 令牌颁发失败方案 ............................................................... 10 令牌接受失败方案 ............................................................... 15 信任管理失败方案 ............................................................... 16 网站失败方案 ................................................................... 18 Windows Internal Database (WID) 同步失败方案 ................................... 19 证书管理失败方案 ............................................................... 20 常规联合服务器失败方案 ......................................................... 20 常规联合服务器代理失败方案 ..................................................... 22 已知问题 ......................................................................... 23 附录:脚本 ......................................................................... 23 AD FS 2.0 管理包简介 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包可提供针对联合服务器和联合服务器代理角色的 AD FS 2.0 部署的主动和被动监视。管理包监视 AD FS 2.0 Windows 服务记录在 AD FS 2.0 事件日志中的事件，同时监视 AD FS 2.0 性能计数器收集的性能数据。它还监视 AD FS 2.0 系统和联合身份验证被动应用程序的整体运行状况，并针对严重问题和警告问题提供警报。 此管理包监视以下核心组件:令牌颁发、令牌接受、项目服务、网站、信任管理、证书滚动更新和 Windows Internal Database 同步。例如，AD FS 2.0 管理包监视以下: , 指示服务中断和操作错误或警告的事件 , 指示配置问题和后台任务失败或警告的警报 , 是否成功进行了审核 , 联合服务器和联合服务器代理之间的通信 , 格式错误的访问请求的通知 , 网站可用性 , Internet Information Services (IIS) 中的联合身份验证被动网站(位于 <计算机名 称>\Sites\Default Web Site\adfs\ls 中)的安全套接字层 (SSL) 证书的运行状况。 文档版本 本指南基于 AD FS 2.0 管理包的 1.0.22.8 版本编写。 获取最新的管理包和文档 可以在 System Center Operations Manager 2007 目录(可能为英文页面) () 中找到 AD FS 2.0 管理包。 受支持的配置 下表中的操作系统配置支持 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包。 配置 支持 Windows Server 2008 32 位和 64 位 Windows Server 2008 R2 64 位 所有支持均受 Microsoft 整体帮助和支持 () 以及 Operations Manager 2007 R2 支持的配置 () 文档的约束。 4 开始使用 本节介绍在导入 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包前后应采取的操作以及有关自定义的信息。 导入管理包之前 在导入 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包之前，请执行下列操作: , 安装 System Center Operations Manager 2007 R2 或 System Center Operations Manager 2007 Service Pack 1 (SP1)。 , 使用 Windows Server 2008 中的添加角色服务向导，验证是否安装了 IIS 6 管理兼容性和 IIS 6 元数据库兼容性角色服务。(有些 AD FS 2.0 脚本依赖于安装的 Internet Information Services (IIS) Windows Management Instrumentation (WMI) 对象。) 此管理包中的文件 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包包括文件 Microsoft.ActiveDirectoryFederationServices.2.0。 推荐的其他管理包 虽然执行 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包不需要任何其他管理包，但以下管理包可能有用，因为它们可以补充 AD FS 2.0 监视服务: , System Center Operations Manager 2007 的 Windows Server Internet Information Services 7 管理包(可能为英文页面)() , Operations Manager 2007 的 Microsoft SQL Server Management Pack () 如何导入 AD FS 2.0 管理包 有关导入管理包的说明，请参阅如何在 Operations Manager 2007 中导入管理包(可能为英文页面)()。 导入 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包后，创建一个新管理包用来存储替代项和其他自定义项。 初始配置 在导入 Active Directory Federation Services (AD FS) 2.0 管理包后，按照以下过程完成初始配置: 1. 创建一个新管理包来存储替代项及其他自定义项。 2. 为监视的组件执行发现。 5 为自定义项创建新管理包 大多数供应商管理包都是密封的，因此您无法更改管理包文件中的任何原始设置。不过，您可以创建自定义项(例如替代项或新监视对象)，并将其保存到不同的管理包中。默认情况下，System Center Operations Manager 2007 将所有自定义项保存到默认管理包中。作为最佳实践，您应该为要自定义的每个密封管理包创建单独的管理包。 创建新管理包来存储替代项具有以下优点: , 它简化了将在测试和预生产环境中创建的自定义项导出到生产环境的过程。例如，无需导出包 含多个管理包中的自定义项的默认管理包，您可以只导出包含单个管理包中的自定义项的管理 包。 , 您可以删除原始管理包，而不必首先删除默认管理包。包含自定义项的管理包依赖于原始管理 包。此依赖关系要求您先删除包含自定义项的管理包，然后才能删除原始管理包。如果您的所 有自定义项都保存到默认管理包中，则必须删除默认管理包，然后才能删除原始管理包。 , 可以更轻松地跟踪和更新单个管理包的自定义项。 有关密封和未密封管理包的详细信息，请参阅管理包格式(可能为英文页面) ()。有关管理包自定义项和默认管理包的详细信息，请参阅关于 Operations Manager 2007 中的管理包(可能为英文页面) ()。 为监视的组件执行发现 必须配置代理或 Operation Manager 服务器，使其有权对所监视的组件执行发现。执行此操作时，确保代理和 Operation Manager 启用了“允许此代理充当代理并发现其他计算机上的托管对象”或“允许此服务器充当代理并在其他计算机上发现托管对象”选项。 配置代理 1. 打开 Operation Manager 的“操作控制台”。 2. 在左面板中，单击“管理”选项卡。 3. 单击“设备管理”，然后单击“代理管理”。 4. 在右窗格中，单击要配置的代理，然后单击“属性”。 5. 在“代理属性”页上，单击“安全性”选项卡。 6. 确保选中“允许此代理充当代理并发现其他计算机上的托管对象”复选框。 配置 Operation Manager 1. 打开 Operation Manager 的“操作控制台”。 2. 在左面板中，单击“管理”选项卡。 3. 单击“设备管理”，然后单击“管理服务器”。 4. 在右窗格中，单击要配置的代理，然后单击“属性”。 5. 在“管理服务器属性”页上，单击“安全性”选项卡。 6. 确保选中“允许此服务器充当代理并在其他计算机上发现托管对象”复选框。 6 可选配置 启用授权规则的监视 根据 Active Directory 联合身份验证服务 (AD FS) 2.0 在贵组织中的部署方式，您可能希望启用监视授权声明规则在贵组织中的工作方式的能力。Microsoft 假定管理员在将 AD FS 2.0 投入生产之前，已正确配置了用户授权声明规则，并且用户遇到的任何拒绝访问都是由所配置的授权声明规则导致的。 默认情况下，AD FS 2.0 管理包中禁用以下规则: , “代表”授权错误 , 调用方授权错误 , “充当”授权错误 可以通过执行以下过程来启用这些规则。 启用规则 1. 打开 Operation Manager 的“操作控制台”。 2. 单击左面板中的“创作”选项卡。 3. 单击“管理包对象”，然后单击“规则”。 4. 在规则列表中，在“类型: 令牌颁发”下找到要启用的规则，右键单击该规则，指向“替代”， 再指向“替代规则”，然后单击“对于该类的所有对象: 令牌颁发”。 安全注意事项 您可能需要自定义 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包。某些帐户无法在低特权环境中运行，或者它们必须具有最低权限。 低特权环境 为使每个客户端监视脚本均能够成功运行，操作帐户必须是运行 Active Directory 联合身份验证服务 (AD FS) 2.0 的代理计算机上的 Administrators 组的成员或本地系统帐户。 7 了解管理包操作 本节提供有关 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包发现的对象类型以及涉及到的类的其他信息。此外，还解释了关键监视方案一节中引入的概念。 AD FS 2.0 管理包发现的对象 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包可发现下表中的对象类型。该表指示发现哪些对象类型，具体取决于发现的计算机上的 AD FS 2.0 的角色(联合服务器角色或联合服务器代理角色)。 角色 对象类型 联合服务器 联合服务器种子 联合服务器 AD FS 2.0 联合服务器 联合身份验证服务 联合服务器 联合服务器 联合服务器 身份验证 联合服务器 证书管理 联合服务器 信任管理 联合服务器 网站 联合服务器 WID 同步 联合服务器 项目服务 联合服务器 令牌接受 联合服务器 令牌颁发 联合服务器代理 联合服务器代理种子 联合服务器代理 AD FS 2.0 联合服务器代理 联合服务器代理 联合服务器代理 联合服务器代理 联合服务器代理 身份验证 联合服务器代理 网站 当监视的计算机上安装了联合服务器或联合服务器代理时，将发现联合服务器种子或联合服务器代理种子对象类型。 8 有关发现对象的信息，请参阅 System Center Operations Manager 2007 帮助中的 Operations Manager 2007 中的对象发现(可能为英文页面) ()。 类 以下图表显示了 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包中定义的类。 抽象类 抽象类没有实例，它们只用于充当其他类的基类。了解这点后，就会明白类 Microsoft.ActiveDirectoryFederationServices20.FederationServer 及其承载的所有类都继承自名为 Microsoft.ActiveDirectoryFederationServices20.FederationServerBase 的抽象类。 9 类似地，类 Microsoft.ActiveDirectoryFederationServices20.FederationServerProxy 及其承载的所有类都继承自名为 Microsoft.ActiveDirectoryFederationServices20.FederationServerProxyBase 的抽象类。 Microsoft.ActiveDirectoryFederationServices20.FederationServer 和 Microsoft.ActiveDirectoryFederationServices20.FederationServerBase 都继承自另一个名为 Microsoft.ActiveDirectoryFederationServices20.ActiveDirectoryFederationServices20Base 的抽象类。 关键监视方案 下表列出了 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包为关键的更高级别监视方案实施的监视器/规则的子方案。如果这些方案中出现失败或者某个成功事件指示警告情况，则会生成警报。 有些情况下，会抑制警报，以便在出现许多根本原因相同的失败/警告时，只生成一个警报。(请参阅本节各个表中的“警报抑制”列。)对于基于事件的监视器/规则，将在为间歇失败生成警报之前对事件进行计数。(请参阅本节各个表中的“事件计数”列。) 注意 警报抑制只适用于规则。事件计数只适用于监视器。 令牌颁发失败方案 下表中的监视器/规则监视在联合服务器代理计算机上观察到的令牌颁发失败，并监视联合身份验证服务中与令牌颁发相关的警告事件。 子方案 规则/监视器名称 警报抑制 事件计数 项目:未能连接到项目项目数据库连接打开错不可用 无 数据库。 误 项目:未能从项目数据项目数据库获取错误 不可用 无 库获取项目。 项目:未能将项目添加项目数据库添加错误 不可用 无 到项目数据库。 项目:未能从项目数据项目数据库删除错误 不可用 如果相同的失败情况库删除项目。 在一小时内至少出现 了 30 次 项目:项目服务未能启项目服务启动异常 不可用 无 动。 项目:没有为信赖方启请求的项目已禁用错误 如果失败情况是针对同不可用 一信赖方，则抑制 用 SAML 项目解析服 10 子方案 规则/监视器名称 警报抑制 事件计数 务。 项目解析请求:SAML 项未配置项目解析终结点如果出现相同的失败情不可用 错误 况，则抑制 目解析终结点未配置或 已禁用。 项目解析请求:SAML 项找不到项目解析服务标如果失败情况是针对同不可用 识错误 一信赖方，则抑制 目解析请求指定了没有 为信赖方配置的颁发 者。 项目解析请求:SAML 项项目解析失败 不可用 无 目解析请求失败。 项目解析请求:由于无SAML 项目解析请求错如果失败情况是针对同不可用 误 一声明提供方，则抑制 法解析 SAML 项目，联 合身份验证服务无法颁 发令牌。向声明提供方 信任发出的项目解析请 求失败。 项目解析请求:声明提找不到 SAML 项目解析如果失败情况是针对同不可用 终结点错误 一声明提供方，则抑制 供方不具有配置了指定 索引的 SAML 项目解析 终结点。项目解析失 败。 断言使用者服务:SAML 不匹配的断言使用者服如果失败情况是针对同不可用 务索引 请求指定了一个未在信一信赖方和同一断言使 用者服务索引，则抑制 赖方上配置的断言使用 者服务索引。 断言使用者服务:未在不匹配的断言使用者服如果失败情况是针对同不可用 务协议绑定 信赖方上配置 SAML 请一信赖方和同一断言使求中指定的断言使用者用者服务协议绑定，则服务协议绑定终结点。 抑制 断言使用者服务:未在不匹配的断言使用者服如果失败情况是针对同不可用 务 URL 信赖方上配置 SAML 请一信赖方和同一断言使 用者服务 URL，则抑制 求中指定的断言使用者 服务 URL。 断言使用者服务:未在未配置断言使用者服务如果失败情况是针对同不可用 终结点 一信赖方，则抑制 信赖方上配置 SAML 请 求中指定的断言使用者 服务终结点。 11 子方案 规则/监视器名称 警报抑制 事件计数 断言使用者服务:信赖配置缺少 SAML 断言使如果失败情况是针对同不可用 用者服务错误 一信赖方，则抑制 方未配置 SAML 断言使 用者服务。 特性存储:无法加载在特性存储加载失败 如果失败情况是针对同不可用 一特性存储，则抑制 联合身份验证服务中配 置的特性存储。 特性存储:尝试执行 SQL 特性存储查询执行如果失败情况是针对同不可用 错误 SQL 特性存储查询期间一 SQL 特性存储和同发生错误。 一查询，则抑制 特性存储:特性存储或特性存储规则处理错误 不可用 无 特性存储规则中发生处 理错误。 授权:联合身份验证服“代表”授权错误 如果失败情况是针对同不可用 务无法授权调用方代表一调用方、同一使用者 和同一信赖方，则抑制 使用者向信赖方颁发令 牌。 授权:联合身份验证服调用方授权错误 如果失败情况是针对同不可用 务无法授权调用方向信一调用方和同一信赖赖方颁发令牌。 方，则抑制 证书:信赖方的令牌签信赖方签名证书无效 如果失败情况是针对同不可用 名证书无效。 一信赖方和同一指纹， 则抑制 证书:AD FS 2.0 无法访问证书私钥错误 不可用 无 Windows 服务使用的服 务帐户无权访问其令牌 签名证书和/或令牌解密 证书的私钥。 证书:尝试使用由指纹信赖方加密证书错误 如果失败情况是针对同不可用 的加密证书为信赖一信赖方和同一指纹， 则抑制 方信任构建证书链期间 发生错误。 证书:为指纹标识的客客户端证书 CRL 检查如果失败情况是针对同不可用 失败 一指纹，则抑制 户端证书构建证书链时 出错。 域控制器:联合身份验LDAP 查找错误 如果失败情况是针对同不可用 一域控制器，则抑制 证服务在域中找不到域 12 子方案 规则/监视器名称 警报抑制 事件计数 控制器。 终结点:无法访问用于无法访问 MEX 终结点 不可用 不可用 通过 SOAP 和 HTTP 协 议进行身份验证的 WS- Metadata Exchange (MEX) 终结点。 终结点:无法访问联合无法访问代理 MEX 终不可用 不可用 结点 服务器上的联合服务器 代理 WS-Metadata Exchange (MEX) 终结 点。 联合身份验证被动:尝联合身份验证被动服务不可用 无 通信错误 试从联合身份验证服务 获取令牌时发生通信错 误。 联合身份验证被动:联联合身份验证被动请求不可用 无 失败 合身份验证被动请求期 间出错。 联合身份验证被动:联联合服务器代理上的联不可用 无 合身份验证被动注销期合身份验证被动注销错 间出错。 误 联合身份验证被动:尝联合服务器代理上的联不可用 无 试从联合身份验证服务合身份验证被动服务通 信错误 获取令牌时发生通信错 误。 联合身份验证被动:联联合服务器代理上的联不可用 无 合身份验证被动请求期合身份验证被动请求失 间出错。 败 全局编录服务器:联合全局编录服务器连接错如果失败情况是针对同不可用 误 身份验证服务无法连接一全局编录服务器，则到全局编录服务器。 抑制 全局编录服务器:联合LDAP 全局编录服务器如果失败情况是针对同不可用 错误 身份验证服务无法查询一全局编录服务器，则全局编录服务器。 抑制 LDAP 服务器:联合身份LDAP 连接错误 如果失败情况是针对同不可用 验证服务无法连接到 一 LDAP 服务器，则抑 13 子方案 规则/监视器名称 警报抑制 事件计数 LDAP 服务器。 制 LDAP 服务器:联合身份LDAP 服务器查询错误 如果失败情况是针对同不可用 验证服务无法查询 LDAP 一 LDAP 服务器，则抑服务器。 制 NameID 策略:由于无法不支持的 NameID 策略 如果失败情况是针对同不可用 满足身份验证请求中指一信赖方和同一 NameID 策略，则抑制 定的 NameID 策略，联 合服务器无法处理 SAML 身份验证请求。 SAML 请求:联合身份验SAML 请求处理错误 不可用 无 证服务在处理 SAML 身 份验证请求时遇到错 误。 安全性:用于对用户或弱签名算法错误 如果失败情况是针对同不可用 一颁发者，则抑制 请求进行身份验证的令 牌使用不是预期签名算 法的签名算法进行签 名。 安全性:使用非预期的项目解析请求中的弱签如果失败情况是针对同不可用 名算法错误 一信赖方，则抑制 签名算法对 SAML 项目 解析请求进行了签名。 安全性:使用非预期的SAML 请求中的弱签名如果出现相同的失败情不可用 算法错误 况，则抑制 签名算法对 SAML 请求 进行了签名。 安全性:联合身份验证无效的身份验证类型 如果失败情况是针对同不可用 服务无法满足令牌请一信赖方和同一身份验 证类型，则抑制 求，因为不符合信赖方 的身份验证类型要求。 签名验证:验证来自消SAML 请求签名验证错如果失败情况是针对同不可用 误 一消息发出者，则抑制 息发出者的 SAML 消息 签名失败。 签名验证:项目解析服项目解析服务签名验证如果出现相同的失败情不可用 务无法验证请求签名。 错误 况，则抑制 信任:已在联合服务器已成功建立联合服务器无 不可用 代理信任 代理和联合身份验证服 务之间成功建立信任。 14 子方案 规则/监视器名称 警报抑制 事件计数 WS-Trust 请求:联合身WS-Trust 请求处理错不可用 无 误 份验证服务在尝试处理 WS-Trust 请求时遇到错 误。 令牌接受失败方案 下表中的监视器/规则监视联合身份验证服务中的令牌接受失败及其他警告事件。一些失败还会导致令牌颁发失败。 子方案 规则/监视器名称 警报抑制 事件计数 项目解析请求:声明提供方缺少项目解析服务终如果失败情况是针对不可用 结点 信任未配置 SAML 项目解析同一声明提供方，则 抑制 服务终结点。SAML 项目解 析失败。 证书:声明提供方的令牌签声明提供方签名证书如果失败情况是针对不可用 名证书无效。 无效 同一声明提供方和同 一指纹，则抑制 证书:找不到用于验证从声无法找到声明提供方如果失败情况是针对不可用 签名证书 明提供方获取的令牌/消息同一声明提供方，则 抑制 签名的证书。令牌接受和令 牌颁发失败。 证书:声明提供方的加密证声明提供方加密证书如果失败情况是针对不可用 书无效。SAML 注销失败。 无效 同一声明提供方，则 抑制 联合身份验证被动:联合身联合身份验证被动注不可用 无 销错误 份验证被动注销期间发生错 误。 联合身份验证被动:处理 SAML 注销错误 如果失败情况是针对不可用 SAML 注销请求期间发生错同一注销发起程序标误。 识和调用方标识，则 抑制 联合身份验证被动:SAML 未找到 SAML 注销名如果失败情况是针对不可用 称标识符错误 单一注销请求与已登录会话同一请求者和同一名参与者不对应。 称标识符，则抑制 签名验证:未能验证来自声项目响应失败签名检如果失败情况是针对不可用 15 子方案 规则/监视器名称 警报抑制 事件计数 明提供方的项目响应签名。 查 同一声明提供方，则 抑制 令牌重播检测:SAML 项目令牌重播检测错误 不可用 无 解析服务在尝试执行令牌重 播检测时遇到错误。令牌重 播检测失败。 令牌验证:密钥标识的令牌不匹配的令牌颁发者 如果失败情况是针对不可用 颁发者与为此联合身份验证同一声明提供方，则 抑制 服务配置的任何已知声明提 供方信任均不匹配。 令牌验证:已接收令牌的 安全令牌未生效错误 如果出现相同的失败不可用 情况，则抑制 NotBefore 特性值设置为尚 未发生的未来时间。 令牌验证:令牌中指定的受无效的受众 URI 如果出现相同的失败不可用 情况，则抑制 众 URI 与此联合身份验证 服务可接受的标识符不匹 配。 令牌验证:令牌验证失败。 安全令牌验证错误 不可用 无 令牌验证:安全令牌被拒无效的即时颁发错误 不可用 无 绝，因为指定的 IssueInstant 早于允许的 时间段。 信任管理失败方案 下表中的监视器/规则监视联合身份验证服务中的信任管理失败及其他警告事件。 子方案 规则/监视器名称 警报抑制 事件计数 自动更新:启用自动监视已禁用信任的自动更不可用 无 新 时，禁用了一个或多个信 任配置的联合元数据的自 动更新。此后在合作伙伴 组织中所做的任何更改将 不再自动提交到此联合身 份验证服务上的信任配 置。 16 子方案 规则/监视器名称 警报抑制 事件计数 自动更新:信任监视服务成功自动更新并出现如果失败情况是针对同不可用 警告 一信任，则抑制 使用合作伙伴发布的更改 成功地自动更新了信任。 但是，一些元数据被忽 略。 自动更新:信任监视服务跳过自动更新并出现如果失败情况是针对同不可用 警告 一信任，则抑制 检测到信任的联合元数据 发生更改，但是它未自动 对信任伙伴应用这些更 改。 配置数据库操作:信任监视写入错误 不可用 如果相同的失败情况AD FS 2.0 信任监视服务在 5 天内出现 3 次 以上 在写入到 AD FS 配置数据 库中的对象时遇到错误。 配置数据库操作:尝试读信任监视读取错误 不可用 如果相同的失败情况取存储在 AD FS 配置数据在 5 天内出现 3 次 以上 库中的数据期间发生错 误。信任监视已临时中 止，但会根据为所有信任 设置的监视间隔值自动进 行另一次尝试。 联合元数据:联合身份验信任监视检索错误 不可用 如果相同的失败情况证服务无法检索联合元数在 5 天内出现 3 次据文档。 以上 联合元数据:联合身份验无法创建联合元数据不可用 无 文档 证服务无法创建联合元数 据文档。 联合元数据:由于意外错侦听联合元数据请求不可用 无 时出错 误，联合身份验证服务无 法侦听读取联合元数据文 档的请求。 联合元数据:信任监视服联合元数据分析错误 不可用 如果相同的失败情况务无法读取联合元数据文在 5 天内出现 3 次档。 以上 联合元数据:信任监视服联合元数据处理错误 不可用 如果相同的失败情况务无法处理元数据文档中在 5 天内出现 3 次的数据。 以上 17 子方案 规则/监视器名称 警报抑制 事件计数 常规错误:监视信任期间信任监视常规错误 不可用 如果相同的失败情况发生错误。信任监视已临在 5 天内出现 3 次 以上 时中止，但会根据为所有 信任设置的监视间隔值自 动进行另一次尝试。 网站失败方案 下表中的监视器/规则监视联合服务器和联合服务器代理计算机上的联合身份验证被动网站失败/警告。 子方案 规则/监视器名称 警报抑制 事件计数 应用程序池:IIS 中未运联合服务器上未运行 不可用 无 AD FS 2.0 应用程序池 行 AD FS 2.0 应用程序 池。 应用程序池:联合服务器联合服务器代理上未运不可用 无 代理上的 IIS 中未运行 行 AD FS 2.0 应用程序 AD FS 2.0 应用程序池。 池 IIS 管理服务:未在联合未启动 IIS 管理服务 不可用 无 服务器代理上启动 IIS 管 理服务。 SSL 证书:为联合身份验联合服务器上的 SSL 证不可用 无 书错误 证被动网站配置的 SSL 证 书已过期，或者已被吊 销。 SSL 证书:为联合身份验联合服务器上的 SSL 证不可用 无 书警告 证被动网站配置的 SSL 证 书将在 20 天后过期。 SSL 证书:尝试检查联合联合服务器上的 SSL 证不可用 无 书吊销检查错误 身份验证被动网站上配置 的 SSL 证书的吊销状态时 失败。 SSL 证书:尝试检查联合联合服务器代理上的 不可用 无 SSL 证书吊销检查错误 身份验证被动网站上配置 的 SSL 证书的吊销状态时 失败。 18 子方案 规则/监视器名称 警报抑制 事件计数 SSL 证书:为联合身份验联合服务器代理上的 不可用 无 SSL 证书错误 证被动网站配置的 SSL 证 书已过期，或者已被吊 销。 SSL 证书:为联合身份验联合服务器代理上的 不可用 无 SSL 证书警告 证被动网站配置的 SSL 证 书将在 20 天后过期。 Web.config:联合服务器联合服务器上缺少联合不可用 无 上的 IIS 中缺少 身份验证被动网站应用 程序 AD FS 2.0 联合身份验证被 动网站应用程序。 Web.config:由于联合服联合身份验证被动 Web 不可用 无 配置错误 务器上的 web.config 文 件中存在错误，Web 请求 失败。 Web.config:由于联合服联合服务器代理上的联不可用 无 务器代理上的 web.config 合身份验证被动 Web 配 置错误 文件中存在错误，Web 请 求失败 Windows Internal Database (WID) 同步失败方案 下表中的监视器/规则监视场方案中的联合服务器计算机上的 Windows Internal Database (WID) 同步失败。 子方案 规则/监视器名称 警报抑制 事件计数 主联合服务器上存储的数AD FS 配置数据库同步不可用 如果相同的失败情况 错误 据与辅助联合服务器上的在 30 分钟内至少出数据未进行同步。 现了 3 次 AD FS 2.0 检测到联合身同步阈值冲突 如果出现相同的失败不可用 情况，则抑制 份验证服务配置了 100 个以上的信任，并且使用 Windows Internal Database 技术存储和同 步 AD FS 配置数据库中 此联合身份验证服务的数 据。 19 证书管理失败方案 下表中的监视器/规则监视联合身份验证服务中的证书管理失败。 子方案 规则/监视器名称 警报抑制 事件计数 联合身份验证服务无法其他证书加载错误 如果失败情况是针对同无 加载其他证书。 一指纹，则抑制 证书监视失败。 证书监视失败 不可用 无 常规联合服务器失败方案 下表中的监视器/规则监视联合服务器计算机上或联合身份验证服务中的启动失败及其他操作或配置失败。 子方案 规则/监视器名称 警报抑制 事件计数 证书:AD FS 服务帐户无法由于私钥问题，不可用 无 访问 AD FS 配置数据库中令AD FS 2.0 Windows 服 务启动失败 牌签名或令牌解密证书的私 钥。 证书:找不到联合身份验证由于缺少证书，不可用 无 服务配置中配置的证书。AD FS 2.0 Windows 服 务启动失败 AD FS 2.0 Windows 服务启动 失败。 证书:联合身份验证服务中由于证书不唯一，不可用 无 配置的证书不是唯一的。AD FS 2.0 Windows 服 务启动失败 AD FS 2.0 Windows 服务启动 失败。 证书:在本地计算机的“个人”证书加载警告 如果失败情况是针对无 同一证书，则抑制 存储的证书存储中找不到由 指纹标识的证书。 证书:尝试为指纹标识的配证书验证失败 如果失败情况是针对无 置证书构建证书链时出错。 同一指纹，则抑制 证书:AD FS 2.0 检测到 配置已过期证书警告 不可用 无 AD FS 配置数据库中的一个 或多个证书已过期或即将过 期，必须手动更新它们。 20 子方案 规则/监视器名称 警报抑制 事件计数 证书:AD FS 2.0 检测到一个信任已过期证书警告 不可用 无 或多个信任的证书已过期或 即将过期，需要手动更新它 们。 证书:由于其中一个配置的由于证书无效，不可用 无 证书无效或已过期，AD FS 2.0 Windows 服 务启动失败 AD FS 2.0 Windows 服务启动 失败。 配置:AD FS 2.0 服务配置文由于配置格式错误，不可用 无 件中的元素“%1”具有无效的数AD FS 2.0 Windows 服 务启动失败 据。AD FS 2.0 Windows 服务 启动失败。 配置:AD FS 2.0 服务配置文由于缺少配置值，不可用 无 件中缺少必需的元素。AD FS 2.0 Windows 服 务启动失败 AD FS 2.0 Windows 服务启动 失败。 配置:联合身份验证服务遇由于配置错误，联合服不可用 无 到配置错误。AD FS 2.0 务器上的 AD FS 2.0 Windows 服务启动失败。 Windows 服务启动失败 配置:联合服务器无法刷新服务配置重新加载错误 不可用 如果失败情况在 1 其缓存。 小时内至少出现 3 次 配置数据库:SQL Server 中SQL 配置数据库不可用 不可用 无 存储的 AD FS 配置数据库不 可用。 配置数据库:无法正确加载 由于配置加载错误，不可用 无 AD FS 配置数据库。AD FS 2.0 Windows 服 务启动失败 AD FS 2.0 Windows 服务启动 失败。 配置数据库:从 AD FS 配置从配置数据库进行的同不可用 无 数据库进行的同步失败。 步失败 配置数据库:未能将发往具SQL 通知注册错误 不可用 无 有连接字符串的 SQL 数据库 的通知注册为缓存类型。 终结点:尝试为此联合身份由于异常，AD FS 2.0 不可用 无 Windows 服务启动失败 验证服务启用一个或多个终 21 子方案 规则/监视器名称 警报抑制 事件计数 结点期间发生错误。 AD FS 2.0 Windows 服务启动 失败。 服务:联合服务器上的 联合服务器上的 不可用 无 AD FS 2.0 Windows 服务已停AD FS 2.0 Windows 服 止。 务已停止。 服务重新启动:尝试重新启服务主机重新启动错误 不可用 无 动子服务期间发生错误。 SPN 注册:未在 未注册 SPN 不可用 无 Active Directory 中正确注 册 AD FS 2.0 服务帐户的 SPN。 意外异常:联合身份验证服未经处理的异常错误 不可用 无 务遇到导致 AD FS 2.0 Windows 服务停止的意外异 常错误。 常规联合服务器代理失败方案 下表中的监视器/规则监视联合服务器代理计算机上的启动失败及其他操作或配置失败。 子方案 规则/监视器名称 警报抑制 事件计数 终结点:没有在联合身份没有为代理配置终结点 不可用 无 验证服务中为联合服务器 代理配置终结点。 终结点:联合服务器代理代理终结点检索错误 不可用 如果失败情况在 15 无法从联合身份验证服务分钟内至少出现了 检索终结点列表。 20 次 联合服务器连接:联合服联合服务器连接超时 不可用 如果失败情况在半小务器代理无法访问联合服时内至少出现了 10 务器。 次 联合服务器连接:联合服联合服务器代理连接错误 不可用 不可用 务器代理无法与联合服务 器联系。 服务:联合服务器代理上联合服务器代理上的 不可用 无 的 AD FS 2.0 Windows 服AD FS 2.0 Windows 服务 22 子方案 规则/监视器名称 警报抑制 事件计数 务已停止。 已停止 启动:联合身份验证服务由于配置错误，联合服务不可用 无 遇到配置错误。AD FS 2.0 器代理上的 AD FS 2.0 Windows 服务启动失败。 Windows 服务启动失败 启动:无法在联合服务器联合服务器代理启动失败 不可用 无 代理上启动 AD FS 2.0 Windows 服务。 信任:联合服务器代理无联合服务器 SSL 证书不不可用 无 受信任 法与联合服务器建立 SSL 通道信任关系。 信任:联合服务器代理无联合服务器代理不受联合不可用 无 服务器信任 法向联合服务器进行身份 验证。 信任:联合服务器代理无联合服务器代理无法建立不可用 无 信任 法与联合身份验证服务建 立信任。 信任:联合服务器代理无联合服务器代理无法续订不可用 如果失败情况在一天 信任 法续订与联合身份验证服半内至少出现了 6 务的信任。 次 已知问题 本节介绍与设置 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包相关的已知问题。如果您无法正确设置管理包，则可能必须: , 在重新导入了管理包的情况下，在 MOM 计算机上的命令提示符处运行命令 net stop healthservice 和 net start healthservice。 , 在运行 AD FS 2.0 的代理计算机上禁用 IP 版本 6 (IPV6)。有关详细信息，请参阅如何在 Windows Vista、Windows 7 和 Windows Server 2008 中禁用某些 Internet 协议版本 6 (IPv6) 组件。 附录:脚本 下表介绍了 Active Directory 联合身份验证服务 (AD FS) 2.0 管理包中包括的所有脚本。 23 脚本 用途 规则/任 务 FederationServerDiscovery.ps1 在联合服务联合服 器计算机上务器发 现 运行，用于 检查联合服 务器发现 FederationServerProxyDiscovery.ps1 在联合服务联合服 器代理上运务器代 理发现 行，用于检 查联合服务 器代理发现 FederationServerProxyToServerCommunicationCheck.ps1 在联合服务联合服 器代理计算务器代 机上运行，理连接 错误 用于从联合 服务器计算 机查询联合 元数据 XML FederationServerProxyMEXEndpointCheck.ps1 在联合服务无法访 器代理计算问代理 机上运行，MEX 终 结点 用于查询联 合身份验证 服务中的代 理 MEX 终 结点 FederationServerProxyWebsitesIISCheck.ps1 在联合服务联合服 器代理计算务器代 机上运行，理上未 用于检查代运行 理计算机上AD FS 2. 是否在运行 0 应用 程序池 IIS 服务和 ADFSAppPoo l 应用程序 池 FederationServerProxyWebsitesIISVDirCheck.ps1 在联合服务联合服 器代理计算务器代 机上运行，理上缺 24 脚本 用途 规则/任 务 用于检查代少联合理计算机上身份验是否存在 证被动FedPassive 网站应虚拟目录 用程序 FederationServerProxyWebsitesSSLCertFutureExpiryCheck.ps1 在联合服务联合服器代理计算务器代机上运行，理上的 用于检查代SSL 证 书警告 理计算机上 配置的 SSL 证书是否将 在 20 天或 更短时间后 过期 FederationServerProxyWebsitesSSLCertValidityCheck.ps1 在联合服务联合服器代理计算务器代机上运行，理上的 用于检查代SSL 证 书错误 理计算机上 配置的 SSL 证书是否已 过期或已吊 销 FederationServerProxyWebsitesSSLCertRevocationCheckFailureCheck.在联合服务联合服 ps1 器代理计算务器代机上运行，理上的 用于检查是SSL 证否可以在代书吊销理计算机上检查错 误 成功进行 SSL 证书吊 销检查 FederationServerRemoteSQLServerPing.ps1 在联合服务SQL 配器计算机上置数据运行，用于库不可 用 对承载 AD FS 配置 25 脚本 用途 规则/任 务 数据库的 SQL Server 计算机执行 网络 ping FederationServerSPNCheck.ps1 在联合服务未注册 SPN 器上运行， 用于检查是 否为 AD FS 服务帐户配 置了正确的 SPN FederationServerMEXEndpointCheck.ps1 在联合服务无法访器计算机上问 MEX 终结点 运行，用于 查询联合身 份验证服务 中的 MEX 终结点 FederationServerWebsitesIISCheck.ps1 在联合服务联合服器计算机上务器上运行，用于未运行 检查联合服AD FS 2.务器上是否0 应用 程序池 在运行 IIS 服务和 ADFSAppPool 应用程序 池 FederationServerProxyWebsitesIISVDirCheck.ps1 在联合服务联合服器计算机上务器上运行，用于缺少联检查联合服合身份务器计算机验证被上是否存在动网站代表联合身应用程 序 份验证被动 网站的 adfs\ls 虚 26 脚本 用途 规则/任 务 拟目录 FederationServerWebsitesSSLCertFutureExpiryCheck.ps1 在联合服务联合服器计算机上务器上运行，用于的 SSL 检查联合服证书警 告 务器计算机 上配置的 SSL 证书是 否将在 20 天或更短时 间后过期 FederationServerWebsitesSSLCertValidityCheck.ps1 在联合服务联合服器计算机上务器上运行，用于的 SSL 检查联合服证书错 误 务器计算机 上配置的 SSL 证书是 否已过期或 已吊销 FederationServerWebsitesSSLCertRevocationCheckFailureCheck.ps1 在联合服务联合服器计算机上务器上运行，用于的 SSL 检查是否可证书吊以在联合服销检查 错误 务器计算机 上成功进行 SSL 证书吊 销检查 TrustManagementAutoUpdateSkippedWithWarningCheck.ps1 在联合服务已禁用器上运行，信任的用于检查是自动更 新 否在联合身 份验证服务 中禁用了一 个或多个信 任配置的联 合元数据自 27 脚本 用途 规则/任 务 动更新设置 28 29